Exportar (0) Imprimir
Expandir Tudo

Onde grupos podem ser criados

Onde grupos podem ser criados

No Active Directory, grupos são criados em domínios. Você usa o item Usuários e Computadores do Active Directory para criar grupos. Com as permissões necessárias, os grupos podem ser criados no domínio raiz da floresta, em qualquer outro domínio da floresta ou em uma unidade organizacional.

Além do domínio no qual é criado, um grupo também é caracterizado por seu escopo. O escopo de um grupo determina:

  • O domínio a partir do qual membros podem ser adicionados
  • O domínio no qual os direitos e permissões atribuídos ao grupo são válidos

Para obter mais informações sobre escopos de grupo, consulte Escopo de grupo.

Escolha determinado domínio ou unidade organizacional para criar um grupo com base na administração necessária para o grupo. Por exemplo, se o diretório tiver várias unidades organizacionais, cada uma com um administrador distinto, convém criar grupos com escopo global nessas unidades organizacionais para que os administradores possam gerenciar a participação de grupos para usuários em suas respectivas unidades organizacionais. Se os grupos forem necessários para o controle de acesso fora da unidade organizacional, os grupos na unidade organizacional poderão ser aninhados em grupos com escopo universal (ou outros grupos com escopo global) que possam ser usados em qualquer local na floresta.

Se o nível funcional do domínio estiver definido para o Windows 2000 nativo ou superior, o domínio contiver uma hierarquia de unidades organizacionais e a administração for delegada a administradores em cada unidade organizacional, talvez seja mais eficiente aninhar grupos com escopo global. Por exemplo, se a unidade organizacional OU1 contivesse as unidades organizacionais OU2 e OU3, um grupo com o escopo global OU1 poderia ter seus grupos de membros com escopo global em OU2 e OU3. Em OU1, o administrador poderia adicionar ou remover membros de grupos do OU1, e os administradores do OU2 e OU3 poderiam adicionar ou remover membros de grupos para contas de suas próprias unidades organizacionais sem ter direitos administrativos ao grupo com o escopo global em OU1.

Observação

  • Os grupos podem ser movidos em um domínio. No entanto, somente grupos com escopo universal podem ser movidos de um domínio para o outro. Os direitos e permissões atribuídos a um grupo com escopo universal são perdidos quando o grupo é movido para outro domínio e novas atribuições devem ser feitas.

Para obter informações sobre as ferramentas usadas para mover grupos entre domínios, consulte Usando o Windows Deployment and Resource Kits.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft